bonjour,
celà fait maintenant quelques temps que je reçois des demandes bizarres car complètement codées via mon formulaire mis en place sur mon site, j'en ai 10 par jour et en voici le contenant :
 
9c4d4ee3a83b338120ee516a0487fbc0
.
>
X-Sender: <webmaster@xxx.com>
X-Priority: 3
Return-Path:  
Content-Type: text/html; charset=iso-8859-1;
 
<html><BODY BGCOLOR='#FFFFFF' TEXT='#000000'> Vous avez re&ccedil;u un  
message depuis votre site Internet :<BR>
<TABLE WIDTH='400' BORDER='1' BORDERCOLOR='#FF8000'><TR><TD COLSPAN='2'  
ALIGN='center'><H2><FONT COLOR='#003366'>Exp&eacute;diteur :  
</FONT></H2></TD></TR>
<TR><TD> Société : </TD><TD><B>  </B></TD></TR>
<TR><TD> Adresse : </TD><TD><B>  </B></TD></TR>
<TR><TD> Activité : </TD><TD><B>   </B></TD></TR>
<TR><TR><TD> Intitulé : </TD><TD><B>   </B></TD></TR>
<TR><TR><TD> Contact : </TD><TD><B>   </B></TD></TR>
<TR><TD> Ville : </TD><TD><B>  </B></TD></TR>
<TD> Telephone : </TD><TD><B>  </B></TD></TR>
<TR><TD> Fonction : </TD><TD><B>  </B></TD></TR>
<TR><TD> Email : </TD><TD><B> gas
Content-Type: text/plain; charset=\"us-ascii\"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Subject: good . . t
bcc: charleslegbe@aol.com
 
9c4d4ee3a83b338120ee516a0487fbc0
.
 </B></TD></TR>
<TR><TD> Objectif de votre site :</TD><TD><B>     </B></TD></TR>
<TR><TR><TD> Type de cible :</TD><TD><B>    </B></TD></TR>
<TR><TR><TD> Langues :</TD><TD><B>  </B></TD></TR>
<TR><TR><TD> Nombre de pages :</TD><TD><B>  </B></TD></TR>
<TR><TR><TD> Module de paiement sécurisé :</TD><TD><B>    
</B></TD></TR>
<TR><TR><TD> Services :</TD><TD><B>         </B></TD></TR>
<TR><TR><TD COLSPAN='2' ALIGN='center' BGCOLOR='#FF8000'> &nbsp;  
</TD></TR>
<TR><TD COLSPAN='2' ALIGN='center'><H2> BUDGET : </H2></TD></TR>
<TR><TD COLSPAN='2'>  </TD></TR>
</TABLE></BODY></HTML>
 
auriez-vous une idée ?
merci.

ben :  
 
le gars a désactivé le javascript et donc il peut envoyer le formulaire comme bon lui semble.
 
ton formulaire doit tester si les champs sont vides, mais que en Javascript, alors qu'il faudrait le faire aussi en PHP.
 
aller hop try again
 
donc tout à refaire.

Euh pas tout quand même faut juste vérifier coté serveur aussi c'est tout

C'est la très classique "email injection".
 
Regarde ce passage du mail :

Au lieu d'avoir une adresse mail, y'a des entête qui apparaissent.
 
C'est quand on fait un truc du style :

 
Alors forcément si on met dans $_POST['mail'] n'importe quoi (genre des entêtes, et une liste de mails), on peut envoyer ce que l'on veut à qui on le veut.
 
Protection possible :

ho putaing, connaissait SQL injection mais l'email injection lauleee

moi j'di qu'il faut faire sur chaque formulaire une vérification javascript puis une fois sur le serveur, une vérification encore plus drastique en php. Simple, net précis, pas à se prendre la tête deux fois sur du code de vérification, inconvénient, faut le taper deux fois....